Plesk 11.0.9 kein IPv6 mit Firewall möglich ...

M

mipo

Member
Hallo zusammen,

ich betreibe einen VServer bei Hosteurope mit Plesk 11.0.9 und habe ein Pro-
blem mit der IPv6 Firewall. Wenn ich die Plesk interne Firewall deaktviere,
kann ich problemlos vom Server hinaus als auch von außen per ping6 <ipv6>
kommunizieren. Nach dem Booten des Servers funktionert rund 20 Sekunden
der eingehende Ping6 ... danach ist Feierabend.

Ich habe mir gerade per google die Finger wundgetippt und natürlich vorher
schon auf der Console ... wie kann ich die Firewall für den Verkehr mit IPv6
konfiguerieren? - Ganz ohne Plesk Firewall (mit all dem Für- und Wider möchte
ich den Server doch nicht betreiben.

Okay, IPv6 ist noch nicht so sehr verbreitet. Doch bin ich wirklich einer der
wenigen, dem dieser Fehler auffällt?

Bin für jeden hilfreichen Tip dankbar!!

vG Michael
 
Naja dazu sei aber auch gesagt, das Hosteurope bei der Aktivierung von IPV6 auf seinen Vservern ausdrücklich darauf hinweist, das dies noch im Beta Status ist und Probleme möglich sind.
Hast Du dir die Regeln der sog. Firewall mal angeschaut. Übrigens darfste auch nicht Anpingen != mit geht nicht verwechseln. Das kann zusammenpassen, muss aber nicht.


Gruß Sven
 
Hi Sven,

hast natürlich mit Deinem Hinweis auf den "Beta" Status von HE Recht. Ich
möchte den Laden auch nicht verklagen, sondern suche eine Lösung für
das Problem ;)

Neben dem Ping ist auch kein ftp zum Server über IPv6 möglich. Wohl aber
während der ersten 20 Sekunden. Ich nehme einmal an, das ist die Zeit in
der die FW hochfährt. - Da Du ja so genau bist :cool: ich hab die Zeit nicht
gemessen ...

Für sehr große Recherche geschweige denn für (korrekte) ip6tables war bisher
nicht genug Zeit. Bin aber zugegeben auch ein ipv6tables Gott ....

vG Michael
 
Hehe das mit der Zeit war jetzt auch nicht das Lebenswichtigste, die Frage wäre ja dann, davon ausgehend das die FW dann hochfährt, bzw startet.
Welche Regeln sind dort genau hinterlegt.
Du kannst dir zB über ip6tables -L auf der Console einen ersten groben Überblick verschaffen.
Ich weiß nicht wo Plesk das Script ablegt, da ich nicht damit arbeite, sollte sich aber fix rausfinden lassen. Mit dem Inhalt eben dieses wäre es leichter zu sehen ob da evtl einfach erstmal alles "dicht" gemacht wird.

mipo said:
Für sehr große Recherche geschweige denn für (korrekte) ip6tables war bisher
nicht genug Zeit.
Click to expand...

Das ist natürlich eine suboptimale Ausgangslage ;)

Gruß Sven

(Das mit der Genauigkeit hat eigentlich nur den Grund, dass viele Probleme schon aufgrund von Mißverständnissen bei der Problemdarstellung falsch verstanden werden können, bzw falsch ausgedrückt werden und der Thread dann die falsche Richtung einschlägt. Also nix persönliches ;))
 
Last edited by a moderator:
Hallo Sven,

hast eine PN ...

Nee, doch kein Problem. Ich habe vielleicht auch ein wenig "sensibel" auf
den Hinweis mit dem Beta-Status reagiert. Wenn es bei HE Probleme gibt,
dann würde die Kommunikation überhaupt nicht funktionieren. Funktioniert
aber, wenn die Plesk FW abgeschaltet ist.

Wie Du an der PN siehst, habe ich schon einige Zugriffsbeschränkungen
eingerichtet, aber alles nur über die Web-GUI und für IPv4 ... Bin aber
auch heute Abend hergegangen und alle Einschränkungen zurückgenommen.
Leider mit dem gleichen Ergebnis.

vG Michael
 
Hallo zusammen,

ich stelle einmal zwei Plesk Dateien hier ins Forum. Vielleicht kann mir der
eine oder andere IP6Tables Kundige hier weiterhelfen. ...

Danke im Voraus!!!

firewall-active.sh
Code: 
#!/bin/sh
#ATTENTION!
#
#DO NOT MODIFY THIS FILE BECAUSE IT WAS GENERATED AUTOMATICALLY,
#SO ALL YOUR CHANGES WILL BE LOST THE NEXT TIME THE FILE IS GENERATED.

set -e

echo 0 > /proc/sys/net/ipv4/ip_forward
([ -f /var/lock/subsys/ipchains ] && /etc/init.d/ipchains stop) >/dev/null 2>&1 || true
(rmmod ipchains) >/dev/null 2>&1 || true
/sbin/iptables -F
/sbin/iptables -X
/sbin/iptables -Z
/sbin/iptables -P INPUT DROP
/sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A INPUT -p tcp ! --syn  -m state --state NEW -j REJECT --reject-with tcp-reset
/sbin/iptables -A INPUT -m state --state INVALID -j DROP
/sbin/iptables -P OUTPUT DROP
/sbin/iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp ! --syn  -m state --state NEW -j REJECT --reject-with tcp-reset
/sbin/iptables -A OUTPUT -m state --state INVALID -j DROP
/sbin/iptables -P FORWARD DROP
/sbin/iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A FORWARD -p tcp ! --syn  -m state --state NEW -j REJECT --reject-with tcp-reset
/sbin/iptables -A FORWARD -m state --state INVALID -j DROP
/sbin/iptables -A INPUT -i lo  -j ACCEPT
/sbin/iptables -A OUTPUT -o lo -j ACCEPT
/sbin/iptables -A FORWARD -i lo -o lo -j ACCEPT
/sbin/iptables -t mangle -F
/sbin/iptables -t mangle -X
/sbin/iptables -t mangle -Z
/sbin/iptables -t mangle -P PREROUTING ACCEPT
/sbin/iptables -t mangle -P OUTPUT ACCEPT
/sbin/iptables -t mangle -P INPUT ACCEPT
/sbin/iptables -t mangle -P FORWARD ACCEPT
/sbin/iptables -t mangle -P POSTROUTING ACCEPT

/sbin/ip6tables -F
/sbin/ip6tables -X
/sbin/ip6tables -Z
/sbin/ip6tables -P INPUT DROP
/sbin/ip6tables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/ip6tables -A INPUT -p tcp ! --syn  -m state --state NEW -j REJECT --reject-with tcp-reset
/sbin/ip6tables -A INPUT -m state --state INVALID -j DROP
/sbin/ip6tables -P OUTPUT DROP
/sbin/ip6tables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/ip6tables -A OUTPUT -p tcp ! --syn  -m state --state NEW -j REJECT --reject-with tcp-reset
/sbin/ip6tables -A OUTPUT -m state --state INVALID -j DROP
/sbin/ip6tables -P FORWARD DROP
/sbin/ip6tables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/ip6tables -A FORWARD -p tcp ! --syn  -m state --state NEW -j REJECT --reject-with tcp-reset
/sbin/ip6tables -A FORWARD -m state --state INVALID -j DROP
/sbin/ip6tables -A INPUT -i lo  -j ACCEPT
/sbin/ip6tables -A OUTPUT -o lo -j ACCEPT
/sbin/ip6tables -A FORWARD -i lo -o lo -j ACCEPT
/sbin/ip6tables -t mangle -F
/sbin/ip6tables -t mangle -X
/sbin/ip6tables -t mangle -Z
/sbin/ip6tables -t mangle -P PREROUTING ACCEPT
/sbin/ip6tables -t mangle -P OUTPUT ACCEPT
/sbin/ip6tables -t mangle -P INPUT ACCEPT
/sbin/ip6tables -t mangle -P FORWARD ACCEPT
/sbin/ip6tables -t mangle -P POSTROUTING ACCEPT

/sbin/iptables -t nat -F
/sbin/iptables -t nat -X
/sbin/iptables -t nat -Z
/sbin/iptables -t nat -P PREROUTING ACCEPT
/sbin/iptables -t nat -P OUTPUT ACCEPT
/sbin/iptables -t nat -P POSTROUTING ACCEPT

/sbin/iptables -A INPUT -p tcp --dport 12443 -j DROP
/sbin/ip6tables -A INPUT -p tcp --dport 12443 -j DROP

/sbin/iptables -A INPUT -p tcp --dport 11443 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 11444 -j ACCEPT
/sbin/ip6tables -A INPUT -p tcp --dport 11443 -j ACCEPT
/sbin/ip6tables -A INPUT -p tcp --dport 11444 -j ACCEPT

/sbin/iptables -A INPUT -p tcp --dport 8447 -s 40.10.20.0/27 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 8447 -s 91.0.0.0/8 -j ACCEPT
/sbin/ip6tables -A INPUT -p tcp --dport 8447 -s ::ffff:40.10.20.0/123 -j ACCEPT
/sbin/ip6tables -A INPUT -p tcp --dport 8447 -s ::ffff:91.0.0.0/104 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 8447 -j DROP
/sbin/ip6tables -A INPUT -p tcp --dport 8447 -j DROP

/sbin/iptables -A INPUT -p tcp --dport 8443 -s 40.10.20.0/27 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 8443 -s 91.0.0.0/8 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 8880 -s 40.10.20.0/27 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 8880 -s 91.0.0.0/8 -j ACCEPT
/sbin/ip6tables -A INPUT -p tcp --dport 8443 -s ::ffff:40.10.20.0/123 -j ACCEPT
/sbin/ip6tables -A INPUT -p tcp --dport 8443 -s ::ffff:91.0.0.0/104 -j ACCEPT
/sbin/ip6tables -A INPUT -p tcp --dport 8880 -s ::ffff:40.10.20.0/123 -j ACCEPT
/sbin/ip6tables -A INPUT -p tcp --dport 8880 -s ::ffff:91.0.0.0/104 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 8443 -j DROP
/sbin/iptables -A INPUT -p tcp --dport 8880 -j DROP
/sbin/ip6tables -A INPUT -p tcp --dport 8443 -j DROP
/sbin/ip6tables -A INPUT -p tcp --dport 8880 -j DROP

/sbin/iptables -A INPUT -p tcp --dport 80 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 443 -j ACCEPT
/sbin/ip6tables -A INPUT -p tcp --dport 80 -j ACCEPT
/sbin/ip6tables -A INPUT -p tcp --dport 443 -j ACCEPT

/sbin/iptables -A INPUT -p tcp --dport 21 -j ACCEPT
/sbin/ip6tables -A INPUT -p tcp --dport 21 -j ACCEPT

/sbin/iptables -A INPUT -p tcp --dport 22 -j ACCEPT
/sbin/ip6tables -A INPUT -p tcp --dport 22 -j ACCEPT

/sbin/iptables -A INPUT -p tcp --dport 587 -j ACCEPT
/sbin/ip6tables -A INPUT -p tcp --dport 587 -j ACCEPT

/sbin/iptables -A INPUT -p tcp --dport 25 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 465 -j ACCEPT
/sbin/ip6tables -A INPUT -p tcp --dport 25 -j ACCEPT
/sbin/ip6tables -A INPUT -p tcp --dport 465 -j ACCEPT

/sbin/iptables -A INPUT -p tcp --dport 110 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 995 -j ACCEPT
/sbin/ip6tables -A INPUT -p tcp --dport 110 -j ACCEPT
/sbin/ip6tables -A INPUT -p tcp --dport 995 -j ACCEPT

/sbin/iptables -A INPUT -p tcp --dport 143 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 993 -j ACCEPT
/sbin/ip6tables -A INPUT -p tcp --dport 143 -j ACCEPT
/sbin/ip6tables -A INPUT -p tcp --dport 993 -j ACCEPT

/sbin/iptables -A INPUT -p tcp --dport 106 -j DROP
/sbin/ip6tables -A INPUT -p tcp --dport 106 -j DROP

/sbin/iptables -A INPUT -p tcp --dport 3306 -s 40.10.20.0/27 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 3306 -s 91.0.0.0/8 -j ACCEPT
/sbin/ip6tables -A INPUT -p tcp --dport 3306 -s ::ffff:40.10.20.0/123 -j ACCEPT
/sbin/ip6tables -A INPUT -p tcp --dport 3306 -s ::ffff:91.0.0.0/104 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 3306 -j DROP
/sbin/ip6tables -A INPUT -p tcp --dport 3306 -j DROP

/sbin/iptables -A INPUT -p tcp --dport 5432 -j DROP
/sbin/ip6tables -A INPUT -p tcp --dport 5432 -j DROP

/sbin/iptables -A INPUT -p tcp --dport 9008 -j DROP
/sbin/iptables -A INPUT -p tcp --dport 9080 -j DROP
/sbin/ip6tables -A INPUT -p tcp --dport 9008 -j DROP
/sbin/ip6tables -A INPUT -p tcp --dport 9080 -j DROP

/sbin/iptables -A INPUT -p udp --dport 137 -j DROP
/sbin/iptables -A INPUT -p udp --dport 138 -j DROP
/sbin/iptables -A INPUT -p tcp --dport 139 -j DROP
/sbin/iptables -A INPUT -p tcp --dport 445 -j DROP
/sbin/ip6tables -A INPUT -p udp --dport 137 -j DROP
/sbin/ip6tables -A INPUT -p udp --dport 138 -j DROP
/sbin/ip6tables -A INPUT -p tcp --dport 139 -j DROP
/sbin/ip6tables -A INPUT -p tcp --dport 445 -j DROP

/sbin/iptables -A INPUT -p udp --dport 1194 -j DROP
/sbin/ip6tables -A INPUT -p udp --dport 1194 -j DROP

/sbin/iptables -A INPUT -p udp --dport 53 -j DROP
/sbin/iptables -A INPUT -p tcp --dport 53 -j DROP
/sbin/ip6tables -A INPUT -p udp --dport 53 -j DROP
/sbin/ip6tables -A INPUT -p tcp --dport 53 -j DROP

/sbin/iptables -A INPUT -p udp -j ACCEPT
/sbin/iptables -A INPUT -p tcp -j ACCEPT
/sbin/ip6tables -A INPUT -p icmpv6 --icmpv6-type 134/0 -j ACCEPT
/sbin/ip6tables -A INPUT -p icmpv6 --icmpv6-type 135/0 -j ACCEPT
/sbin/ip6tables -A INPUT -p icmpv6 --icmpv6-type 136/0 -j ACCEPT
/sbin/ip6tables -A INPUT -p icmpv6 --icmpv6-type 137/0 -j ACCEPT

/sbin/iptables -A INPUT -p icmp --icmp-type 8/0 -j ACCEPT
/sbin/ip6tables -A INPUT -p icmpv6 --icmpv6-type 128/0 -j ACCEPT
/sbin/ip6tables -A INPUT -p icmpv6 --icmpv6-type 129/0 -j ACCEPT

/sbin/iptables -A INPUT -j ACCEPT
/sbin/ip6tables -A INPUT -j ACCEPT

/sbin/iptables -A OUTPUT -j ACCEPT
/sbin/ip6tables -A OUTPUT -j ACCEPT

/sbin/iptables -A FORWARD -j ACCEPT
/sbin/ip6tables -A FORWARD -j ACCEPT

echo 1 > /proc/sys/net/ipv4/ip_forward
echo 1 > /opt/psa/var/modules/firewall/ip_forward.active
chmod 644 /opt/psa/var/modules/firewall/ip_forward.active
#
# End of script
#


firewall-emergency.sh
Code: 
#!/bin/sh

echo 0 > /opt/psa/var/modules/firewall/ip_forward.active
chmod 644 /opt/psa/var/modules/firewall/ip_forward.active


echo 0 > /proc/sys/net/ipv4/ip_forward
/sbin/iptables -F
/sbin/iptables -X
/sbin/iptables -Z
/sbin/iptables -P INPUT ACCEPT
/sbin/iptables -P OUTPUT ACCEPT
/sbin/iptables -P FORWARD ACCEPT

if [ -e "/proc/net/if_inet6" -a -x "/sbin/ip6tables" ]; then
	/sbin/ip6tables -F
	/sbin/ip6tables -X
	/sbin/ip6tables -Z
	/sbin/ip6tables -P INPUT ACCEPT
	/sbin/ip6tables -P OUTPUT ACCEPT
	/sbin/ip6tables -P FORWARD ACCEPT
fi



exit 0

Hinweis:
Wenn ich die "firewall-emergency.sh" ausführe funktioniert IPv6 ein- und ausgehend. Die "firewall-active.sh" funktioniert's nicht ...

Ich habe die 40.10.20.0/27 unkenntlich gemacht ... Aber das tut ja nichts
zur Sache ....

vG Michael
 
Ich grabe de Thread mal aus...

ich hab das selbe Problem bei Strato. bei mir erzeugen folgende Kommandos:

Code: 
/sbin/ip6tables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/ip6tables -A INPUT -p tcp ! --syn  -m state --state NEW -j REJECT --reject-with tcp-reset
/sbin/ip6tables -A INPUT -m state --state INVALID -j DROP

Code: 
/sbin/ip6tables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/ip6tables -A OUTPUT -p tcp ! --syn  -m state --state NEW -j REJECT --reject-with tcp-reset
/sbin/ip6tables -A OUTPUT -m state --state INVALID -j DROP

Code: 
/sbin/ip6tables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/ip6tables -A FORWARD -p tcp ! --syn  -m state --state NEW -j REJECT --reject-with tcp-reset
/sbin/ip6tables -A FORWARD -m state --state INVALID -j DROP

den Fehler:

Code: 
ip6tables: Invalid argument. Run `dmesg' for more information.

Das ist kein reines Plesk problem, mehr ein ip6tables Problem.
 
You must log in or register to reply here.
Back
Top